10月14日、ウクライナ安全保障局は、notPetyaに類似した新たな大規模サイバー攻撃が10月13日から17日の間に発生する可能性があると警告を発していた。この攻撃が現実問題となったのは、予測から遅れること約1週間後の10月24日。この日、警告されたとおりのランサムウェア攻撃がヨーロッパで発生した。主な標的となったウクライナでは、鉄道や空港などの交通機関、報道機関をはじめとする多くの重要インフラが影響を受け、システムが停止状態に追い込まれた。ウクライナのほかには、トルコ、ロシア、ブルガリアなどでも被害が発生している。影響を受けた組織には、ウクライナのキエフ地下鉄、オデッサ空港、社会基盤省、財務省や、ロシアの大手報道機関Interfax通信が含まれ、このほかには、金融、ヘルスケア、流通、ソフトウェア開発などの企業や組織が被害を受けた。

「Bad Rabbit」と名付けられたこのランサムウェアは、感染後、40時間以内にBitcoinで0.05 BTC(最大280ドル相当)を支払うように要求。40時間経過後は、要求額が値上がりするものと見られるが、上限額はまだ確認されていない。Bad Rabbitは、偽のFlashインストーラを装って感染を広げている。報告によると、ロシアの正規ニュース・サイトでポップアップ・ウィンドウが表示され、そこから攻撃サイトに誘導されて、ランサムウェアのドロッパー(実行可能ファイル)がダウンロードされるというケースがあるようだ。

Bad Rabbitは、感染先のドライブを暗号化する際に、オープンソースのソフトウェアであるDiskCryptorを使用。ユーザに表示されるロック画面は、先ごろ広範囲に感染を広げたPetyaやNotPetyaとほぼ同じである。ただし、現時点で確認されている範囲では、Bad RabbitとPetya、NotPetyaが似ているのはこの画面だけで、そのほかの点は完全にオリジナルとなっている。

感染に成功したBad Rabbitは、感染先ごとに一意の鍵を作成する。この鍵は、Bad Rabbitによって作成されるREAD ME.txtファイルに記載される。なお、このファイルには、仮想回線を複数経由することで匿名化するシステムであるTor上にホストされた支払い用サイトのアドレスも記載される。支払い用のサイトは、文字やその色が刻々と変化する派手なデザインとなっている。

Torの支払い用サイトに鍵を入力すると、一意のBitcoinウォレットが提供され、そのウォレットに0.05 BTCを入金するように要求される。

WannaCryやPetyaのように、Bad Rabbitランサムウェア攻撃は事前に防御できた可能性があるのだ。ランサムウェアや他のマルウェアは決して新しい攻撃ベクターではない。こうしたランサムウェア対策に参考となるビデオやドキュメントはこちらのリンクを参照いただきたい。 また、Bad Rabbitについてのビデオはこちらで、次なるサイバー攻撃から防御するためのホワイトペーパーはこちらで紹介しているので、あわせて参考にしてほしい。

以下のチェック・ポイント製品は、この新型ランサムウェアに対応している。

技術的な概要

Bad Rabbitはまず、「rhaegal」という名称のスケジュール・タスクを削除する。

schtasks /Delete /F /TN rhaegal

続いて、まったく同じ名称のスケジュール・タスクを作成。

schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "C:\Windows\system32\cmd.exe /C Start \"\" \"C:\Windows\dispci.exe\" -id %d && exit"

このタスクは、システムの起動後にペイロードを実行するという処理を行う。 Bad Rabbitはさらに、システムを再起動するスケジュール・タスク「drogon」を作成。

schtasks /Create /SC once /TN drogon /RU SYSTEM /TR "C:\Windows\system32\shutdown.exe /r /t 0 /f" /ST hh:mm:ss

これにより、コンピュータの再起動後に暗号化プロセスが開始される。 Bad Rabbitは、マスター・ブート・レコード(MBR)およびファイルの暗号化と復号化の両方を実行可能だ。Bad Rabbitは、次の拡張子のファイルを暗号化する。

.3ds .7z .accdb .ai .asm .asp
.aspx .avhd .back .bak .bmp .brw
.c .cab .cc .cer .cfg .conf
.cpp .crt .cs .ctl .cxx .dbf
.der .dib .disk .djvu .doc .docx
.dwg .eml .fdb .gz .h .hdd
.hpp .hxx .iso .java .jfif .jpe
.jpeg .jpg .js .kdbx .key .mail
.mdb .msg .nrg .odc .odf .odg
.odi .odm .odp .ods .odt .ora
.ost .ova .ovf .p12 .p7b .p7c
.pdf .pem .pfx .php .pmf .png
.ppt .pptx .ps1 .pst .pvi .py
.pyc .pyw .qcow .qcow2 .rar .rb
.rtf .scm .sln .sql .tar .tib
.tif .tiff .vb .vbox .vbs .vcb
.vdi .vfd .vhd .vhdx .vmc .vmdk
.vmsd .vmtm .vmx .vsdx .vsv .work
.xls .xlsx .xml .xvd .zip

ディスクの暗号化には、オープンソースのパーティション暗号化ツールDiskCryptor(https://github.com/smartinm/diskcryptor)が使用される。この段階で、MBRと第2ステージのブートローダーの両方が暗号化される。

DiskCryptorドライバとのすべての相互作用は、次のデバイスを開いて行われる。

\.\dcrypt

暗号化プロセスを開始する際には、次のIOCTLがこのデバイスに送られる。

DC_CTL_ENCRYPT_START

ファイルの暗号化に使用されるパスワードは2種類あるようだという。1つは、システムの起動時に入力するパスワード、もう1つは、前述した拡張子のファイルを復号化するためのパスワードである。ファイルの復号化は、システムの起動時に、ディスク上のすべての暗号化ファイルを列挙しながら実行される。

Check Point Blog

チェック・ポイント・ソフトウェア・テクノロジーズが定期的に更新している
セキュリティに関するブログ記事の一覧はこちら

[PR]提供:チェック・ポイント・ソフトウェア・テクノロジーズ